Lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed) § 287

Det fremgår af den gældende § 354, stk. 1, i lov om finansiel virksomhed, at Finanstilsynets ansatte er forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden. Det samme gælder personer, der udfører serviceopgaver, som led i Finanstilsynets drift, samt eksperter, der handler på tilsynets vegne. Tavshedspligten gælder også efter ansættelses- eller kontraktforholdets ophør.

Tavshedspligtsbestemmelsen i § 354 i lov om finansiel virksomhed medfører bl.a., at adgangen til aktindsigt i Finanstilsynets sager er begrænset, jf. § 35 i lov om offentlighed i forvaltningen. Tavshedspligtsbestemmelsen i § 354 i lov om finansiel virksomhed begrænser dog ikke parters ret til aktindsigt efter forvaltningsloven, jf. § 9, stk. 2, i forvaltningsloven.

Parter kan søge aktindsigt i oplysninger om en persons identitet i forbindelse med f.eks. indberetninger til Finanstilsynet om overtrædelse af reglerne på det finansielle område. Det fremgår udtømmende af § 355 i lov om finansiel virksomhed, hvem der anses som part i forhold til Finanstilsynets afgørelser. Det særlige partsbegreb afviger fra det almindelige forvaltningsretlige partsbegreb og er nødvendigt for at undgå en udhuling af Finanstilsynets tavshedspligt, da parters adgang til aktindsigt efter forvaltningsloven ikke tilsidesættes af tavshedspligtsreglerne.

§ 354 g i lov om finansiel virksomhed er en særregel, der udvider tavshedspligten i forhold til oplysninger om personer, der indberetter overtrædelser af den finansielle regulering til Finanstilsynet, således at heller ikke parter vil kunne få aktindsigt i personoplysninger om en person, når vedkommende har indberettet en virksomheds, herunder en ansats, overtrædelse eller potentielle overtrædelse af reglerne på det finansielle område til Finanstilsynet.

Efter den gældende § 354 g, stk. 1, må Finanstilsynets ansatte ikke videregive oplysninger om en person, når vedkommende har indberettet en virksomhed eller en person til Finanstilsynet for overtrædelse eller potentiel overtrædelse af den finansielle regulering, som Finanstilsynet fører tilsyn med. Forbuddet udgør en såkaldt whistleblowerordning, som sikrer fuld fortrolighed for personer, der indberetter overtrædelser m.v. til Finanstilsynet.

Det foreslåede stk. 1 viderefører § 354 g, stk. 1, i lov om finansiel virksomhed uden ændringer.

Det foreslås i stk. 1, at Finanstilsynets ansatte ikke må videregive oplysninger om en person, når vedkommende har indberettet en virksomhed eller en person til Finanstilsynet for overtrædelse eller potentiel overtrædelse af den finansielle regulering, som Finanstilsynet fører tilsyn med, jf. dog stk. 2.

Bestemmelsen indebærer bl.a., at oplysninger om en person, der har indberettet en virksomhed eller en person for overtrædelse af den finansielle regulering for så vidt angår indberetningen ikke er undergivet aktindsigt i medfør af forvaltningsloven eller reglerne om underretning i medfør af retssikkerhedsloven.

”Oplysninger om en person” skal forstås i overensstemmelse med definitionen af personoplysninger i artikel 4, nr. 1, i databeskyttelsesforordningen, hvorved forstås enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af begrebet personoplysninger. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning.

Bestemmelsen vil kun kunne finde anvendelse i sager om indberetning af overtrædelser eller potentielle overtrædelser af den finansielle regulering til Finanstilsynet indberettet af en person om en virksomhed under tilsyn af Finanstilsynet, herunder ansatte eller medlemmer af bestyrelsen i virksomheder, der er under tilsyn.

Bestyrelsens eller ansattes indberetning til Finanstilsynet vil ikke være i strid med tavshedspligten i lovforslagets § 82 eller § 132 i selskabsloven.

Såvel overtrædelser som potentielle overtrædelser, f.eks. i tilfælde hvor en indberetning ikke fører til yderligere sagsbehandlingsskridt eller i tilfælde, hvor Finanstilsynet vurderer, at der ikke er tale om en overtrædelse af reglerne på det finansielle område, er omfattet af lovforslaget.

Det er et krav, at overtrædelsen vedrører regler, som er under Erhvervsministeriets ressortområde, som vedrører det område, som er under tilsyn af Finanstilsynet, forstået som love, bekendtgørelser og direkte gældende EU-retlig regulering, herunder forordninger og direkte gældende niveau 2-regulering (f.eks. bindende tekniske standarder). For love, som både Finanstilsynet og andre myndigheder fører tilsyn med, omfattes den eller de bestemmelse(r), som andre fører tilsyn med, ikke af lovforslaget. Dette er eksempelvis de dele af lov om betalingstjenester og elektroniske penge, som er under tilsyn af Forbrugerombudsmanden og Konkurrence- og Forbrugerstyrelsen. Indberetning om overtrædelse af f.eks. markedsføringsloven eller straffeloven (f.eks. i form af underslæb, bedrageri m.v.) omfattes ikke af bestemmelsens anvendelsesområde.

Bestemmelsen medfører, at Finanstilsynets ansatte – med de undtagelser der følger af det foreslåede stk. 2 – ikke er forpligtet til at videregive oplysninger om personer, der til Finanstilsynet indberetter overtrædelser eller potentielle overtrædelser af den finansielle regulering. Bestemmelsen udgør en specialregel (lex specialis) i forhold til de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven.

Såfremt en part f.eks. har ret til aktindsigt efter forvaltningsloven, vil Finanstilsynet i medfør af bestemmelsen være forpligtet til enten ikke at videregive eller at anonymisere enhver oplysning, der gør det muligt at identificere personen, der har indberettet overtrædelsen. Fravigelsen af de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven vurderes at være nødvendig for at yde personerne den tilstrækkelige beskyttelse.

Bestemmelsen ændrer ikke på, at adgangen til aktindsigt i Finanstilsynets sager som følge af bestemmelsens ordlyd er begrænset i henhold til § 35 i lov om offentlighed i forvaltningen, og adgangen til indsigt efter databeskyttelsesloven er som følge af bestemmelsens ordlyd begrænset i henhold til § 22, stk. 3, i databeskyttelsesloven, jf. databeskyttelsesforordningens artikel 15, stk. 1.

Ligeledes er det efter bestemmelsen f.eks. ikke tilladt for Finanstilsynet at videregive personoplysninger om en person, der har indberettet en overtrædelse af den finansielle regulering, i forbindelse med en eventuel underretning forud for gennemførelsen af en beslutning om iværksættelse af et tvangsindgreb efter § 5 i retssikkerhedsloven.

Den gældende § 354 g, stk. 2, i lov om finansiel virksomhed fastsætter, at bestemmelsen i § 354 g, stk. 1, i lov om finansiel virksomhed ikke er til hinder for, at personoplysninger videregives i medfør af § 348 a, stk. 2, eller § 354, stk. 6.

Det foreslåede stk. 2 viderefører § 354 g, stk. 2, i lov om finansiel virksomhed med redaktionelle ændringer. Der er ikke tilsigtet materielle ændringer med bestemmelsen.

Det foreslås i stk. 2, at bestemmelsen i stk. 1 ikke er til hinder for, at personoplysninger videregives i medfør af § 287, stk. 2, eller § 288, stk. 1.

Det fremgår af lovforslagets § 284, stk. 2, at Forbrugerombudsmanden uanset tavshedspligten i §§ 285, 287 og 290, har ret til adgang til samtlige oplysninger i Finanstilsynets sager omfattet af det foreslåede stk. 1.

Det fremgår af lovforslagets § 288, stk. 1, at tavshedspligten i § 285, stk. 1, ikke er til hinder for, at Finanstilsynet videregiver fortrolige oplysninger til de i bestemmelsen nævnte parter, herunder fremgår det bl.a. af § 288, stk. 1, nr. 2, at Finanstilsynet kan videregive fortrolige oplysninger til andre offentlige myndigheder, herunder anklagemyndigheden og politiet, i forbindelse med efterforskning og retsforfølgning af mulige strafbare forhold omfattet af straffeloven eller tilsynslovgivningen.

Videregivelse i forbindelse med retssager, anlagt af den virksomhed eller ansatte, om hvem der er blevet indberettet overtrædelser vedrørende f.eks. bagvaskelse, æreskrænkelse, osv., er ikke omfattet af § 288, stk. 1. Det vil følgelig i disse tilfælde ikke være tilladt for Finanstilsynet at videregive personoplysninger omfattet af det foreslåede stk. 1 til den virksomhed eller ansatte, der er blevet indberettet om.

Bestemmelsen fastsætter bl.a. muligheden for, at Finanstilsynet kan videregive oplysninger om whistleblowere til Forbrugerombudsmanden og andre offentlige myndigheder, herunder anklagemyndigheden og politiet i forbindelse med efterforskning og retsforfølgning af strafbare forhold omfattet af straffeloven eller tilsynslovgivningen m.v.

Det gældende § 354 g, stk. 3, i lov om finansiel virksomhed fastsætter, at bestemmelsen i stk. 1 i lov om finansiel virksomhed ikke er til hinder for, at personoplysninger, der vedrører en kunde, videregives til en finansiel virksomhed i forbindelse med sager omfattet af § 354, stk. 3, i lov om finansiel virksomhed eller i sager om overtrædelse af kapitel 9, når kunden har givet udtrykkeligt samtykke til videregivelsen.

Det foreslåede stk. 3 viderefører § 354 g, stk. 3, i lov om finansiel virksomhed med den sproglige ændring, at der alene henvises til forsikringsselskaber. Der er ikke tilsigtet en materiel ændring med den foreslåede bestemmelse.

Det foreslås i stk. 3, at forbuddet i stk. 1 ikke er til hinder for, at personoplysninger, der vedrører en kunde, videregives til et forsikringsselskab i forbindelse med sager omfattet af lovforslagets § 287, stk. 3, eller i sager om overtrædelse af kapitel 9 i lovforslaget, når kunden har givet samtykke til videregivelsen.

Finanstilsynet kan i disse angivne typer af sager videregive personoplysninger om en kunde til en finansiel virksomhed, hvis kunden samtykker til videregivelsen.

Bestemmelsen vedrører for det første sager omfattet af lovforslagets § 285, stk. 3. § 285, stk. 3, omfatter sager på forbrugerområdet vedrørende god skik, prisoplysning og kontraktforhold, jf. §§ 67-81 og bekendtgørelser udstedt i medfør heraf.

Bestemmelsen vedrører for det andet sager om overtrædelse af kapitel 9 i lovforslaget. Kapitel 9 regulerer finansielle virksomheders adgang til at videregive fortrolige oplysninger.

Personoplysninger videregivet i medfør af det foreslåede stk. 3 er fortrolige og derfor omfattet af § 82. Bestemmelsen indeholder et forbud mod uberettiget videregivelse eller udnyttelse af fortrolige oplysninger.

Whistleblowerordningen skal sikre, at en person, der indberetter overtrædelser begået i instituttet, til enhver tid garanteres fuld fortrolighed, medmindre offentliggørelse kræves i national ret som led i yderligere undersøgelser eller efterfølgende retssager.

Bestemmelsen giver mulighed for, at en klager i en forbrugersag kan give samtykke til, at Finanstilsynet videregiver personoplysninger om den pågældende i den pågældende sag.

Det er en betingelse for, at Finanstilsynet kan videregive personoplysninger om en kunde, at denne har givet et udtrykkeligt samtykke til videregivelsen. Samtykket skal afgives i overensstemmelse med databeskyttelseslovgivningens regler, der bl.a. i artikel 4, nr. 11, definerer samtykke fra den registrerede som enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

”Personoplysninger” skal forstås i overensstemmelse med definitionen heraf i artikel 4, nr. 1, i databeskyttelsesforordningen, hvorved forstås enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af begrebet personoplysninger. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning

Som det fremgår af de specielle bemærkninger til whistleblower-bestemmelsen i § 354 g, jf. Folketingstidende 2013-14, A, L 133 som fremsat, side 1ff, er bestemmelsen lex specialis i forhold til de gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven. Dette vil også være tilfældet efter den foreslåede bestemmelse. Finanstilsynet vil derfor være forpligtet til enten ikke at videregive eller at anonymisere enhver oplysning, der gør det muligt at identificere personen, der har indberettet overtrædelsen, hvis andre søger om aktindsigt i oplysningen. Dette vil også gælde, selvom personen har givet sit samtykke til videregivelsen af personoplysninger om denne til et forsikringsselskab.

Det gældende § 354 g, stk. 4, i lov om finansiel virksomhed fastsætter, at alle, der modtager personoplysninger i henhold til stk. 2, i lov om finansiel virksomhed, er med hensyn til disse oplysninger undergivet den i stk. 1, i lov om finansiel virksomhed omhandlede tavshedspligt.

Det foreslåede stk. 4 viderefører § 354 g, stk. 4, i lov om finansiel virksomhed uden ændringer.

Det foreslås i stk. 4, at alle, der i henhold til stk. 2 modtager personoplysninger, er med hensyn til disse oplysninger undergivet tavshedspligten i stk. 1.

Det indebærer, at de myndigheder m.v., der er nævnt i § 288, stk. 1 som modtager personoplysninger efter den foreslåede bestemmelse, vil være omfattet af Finanstilsynets tavshedspligt.